CN114465807B

CN114465807B - 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及***

Info

Publication number: CN114465807B
Application number: CN202210174683.7A
Authority: CN
Inventors: 刘媛妮; 刘坤; 张建辉; 王苏南; 许家铭
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2022-02-24
Filing date: 2022-02-24
Publication date: 2023-07-18
Anticipated expiration: 2042-02-24
Also published as: CN114465807A

Abstract

本发明属于云原生与零信任安全领域，具体涉及一种基于机器学习的零信任API网关动态信任评估与访问控制方法及***，该***包括：身份认证模块、API网关模块、数据采集存储引擎模块、信任计算引擎模块和授权策略引擎模块；身份认证模块对用户身份进行认证；API网关模块接收用户请求，根据授权策略引擎提供的授权结果执行访问控制策略；数据采集存储模块采集日志信息；信任计算引擎对访问请求详情和历史数据进行计算处理，得到特征值向量，根据特征值向量计算得到访问请求的信任度；授权策略引擎基于访问请求的信任度决定最后的授权策略；本发明解决了现有API网关静态的授权策略容易被攻击者嗅探、侦破从而进行恶意攻击的问题。

Description

一种基于机器学习的零信任API网关动态信任评估与访问控制方法及***

技术领域

本发明属于云原生与零信任安全领域，具体涉及一种基于机器学习的零信任API网关动态信任评估与访问控制方法及***。

背景技术

随着新的IT产业革命的到来，互联网信息呈爆发式增长，同时对于海量数据处理的需求也变得越来越迫切，此时云计算作为新一代的计算模式逐渐从理论走向实践。云计算技术以一切为服务的理念，改变了人们对传统软件应用的认识，为适应这一变化，一个开源的基金会组织——云原生计算基金会(CNCF，Cloud Native Computing Foundation)组织成立，其目标是解答在云体系下，应该用怎样的架构来服务现代应用程序。CNCF提出云原生应以应用运行在云计算基础架构服务之上，并对应用程序逻辑单元实现自我管理为宗旨，并给出了云原生应用的三大特征：容器化封装、自动化管理和面向微服务。

微服务是近年来出现的新型软件应用架构，其核心思路是将复杂的大型应用服务分解为可以独立部署和维护的小型服务模块。这种从单体应用到微服务架构的转变，从根本上改变了传统应用的开发、部署和管理方式。相比传统应用架构，微服务架构能够更有效地利用计算资源，更快地更新服务。在微服务***架构中，API(Application ProgrammingInterface)是微服务服务对外暴露的接入点，各个微服务通过API的调用交互协作，但是对于海量的微服务和其对应的API而言，如何对其进行有效的管理是亟待解决的问题。因此，在微服务架构中需要一个API网关来承担***门面的工作，作为整个微服务集群的统一接入点，以过滤来自外部的访问请求，并对整个微服务集群中的微服务进行生命周期管理。一般来说，API网关***应具备路由、均衡负载、认证授权等核心功能，并能整合灰度发布、限流熔断、服务聚合等功能来优化***。然而，现有API网关的鉴权功能常常是以RBAC(RoleBased Access Control)或ABAC(Attribute Based Access Control)等访问控制模型来实现，这类访问控制模型的访问控制策略往往需要管理员去人为配置，容易产生认为失误，而且这种静态的访问控制策略容易被攻击者长期侦查、渗透所破解，成为整个***安全防御突破口。

零信任网络的概念最早由著名研究机构Forrester的首席分析师JohnKindervag在2010年提出，零信任针对传统的基于边界的网络安全架构进行了重新评估和审视，并给出了新的思路和建议。零信任的核心思想是，默认情况下不信任网络中的一切实体，包括人/设备/***等，诸如IP地址、主机、地理位置等均不能作为可信的凭证，需要基于认证和授权重构访问控制的信任基础，访问控制策略随状态变化动态调整。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。近年来，零信任安全逐渐进入人们的视野，成为网络安全领域的研究热点，是解决新时代网络安全问题的新理念、新架构。

综上所述，如何构建用户信任度评估体系并设计相应的信任评估模型与访问控制模型是将零信任安全防护思想应用于API网关的关键。

发明内容

为解决以上现有技术存在的技术问题，本发明提供了一种基于机器学习的零信任API网关动态信任评估与访问控制方法，该方法包括：

S1：构建零信任API网关动态信任评估指标体系；

S2：用户向***进行身份认证；认证成功的用户向API网关发送请求；采集认证时间及结果信息；

S3：API网关接收请求后判断该请求的服务，若该服务流控规制已生效，则拒绝该请求，若服务流控规制未生效，则判断用户的身份信息是否有效；若用户身份信息无效，则拒绝该用户的请求，若该用户身份信息有效，则执行步骤S4；

S4：API网关采集用户请求信息，并对用户请求信息进行预处理，得到对应的特征值；

S5：将对应的特征值输入到BP神经网络模型中，得到当前请求信息的信任度；

S6：设置零信任策略列表，该列表包含各个服务对应的允许访问的角色以及信任度的最小阈值；

S7：判断当前用户是否具备零信任策略列表中该服务对应的角色，若该用户具备该角色，则执行步骤S8，否则拒绝该请求；

S8：将当前请求信息的信任度与零信任策略列表中该服务对应的最小阈值进行对比，若当前请求信息的信任度大于最小阈值，则API网关允许当前请求，否则拒绝该请求。

优选的，零信任API网关动态信任评估指标体系由访问请求主体信息R、用户主体标识U以及API状态三个一级指标和操作***、用户设备以及API状态三个二级指标组成。

优选的，用户向***进行身份认证的过程包括：用户向***的身份认证模块发送用户信息，用户信息包括用户ID、用户角色以及用户设备标识；身份认证模块接收用户信息后，将该信息存放到Token中，并将Token返回给用户，完成身份认证。

优选的，API网关判断用户身份信息是否有效包括：判断用户发送的请求信息中是否存在Token，若不存在，则用户服务请求失败，若存在，则判断用户写得的Token是否过期，若过期，则户服务请求失败，若未过期，则对Token进行解析，得到请求用户的身份信息。

优选的，API网关采集用户请求信息包括：从请求本身获取网络环境信息，包括请求的操作***、通信协议、客户端版本、用户名/ID、请求时间、请求IP以及API状态信息。

优选的，采用BP神经网络模型对输入的特征值进行处理的过程包括：

步骤1：：模型初始化；确定网络输入层节点数为n₁，隐藏层数为n₂，隐藏层节点数位n₃，输出层节点数为n₄，初始化输入层与隐藏层的连接权值为W_ij，i∈{1,2,…,n₁},j∈{1,2,…,n₃}，隐藏层与隐藏层的连接权值为W_jk，j,k∈{1,2,…,n₃}，隐藏层与输出层的连接权值为W_kl，k∈{1,2,…,n₃}，设置模型的学习率和激活函数；

步骤2：隐藏层计算；基于输入向量X和权值矩阵W_ij计算隐藏层输出H；

步骤3：输出层计算；根据隐藏层输出H以及隐藏层与输出层之间的权值矩阵W_kl计算输出层输出O；

步骤4：误差计算；根据输出层计算结果O和期望值Y计算误差e；

步骤5：权值更新；根据误差e更新权值矩阵W_ij、W_jk和W_kl。

一种基于机器学习的零信任API网关动态信任评估与访问控制***，该***包括：身份认证模块、数据采集存储模块、API网关模块、授权策略引擎模块以及信任计算引擎模块；

所述身份认证模块用户对用户进行身份认证，且将用户的用户ID、用户角色、用户设备标识存放到一个Token，并将Token返回给用户；

所述数据采集存储模块用于采集信任度评估指标相关的源数据，数据来源于身份认证模块、API网关模块和授权策略引擎模块，采集到的原始数据以日志的形式存储在当前模块中；

所述API网关模块用于接收用户请求并对其进行管控，执行零信任安全策略和流量控制策略并记录访问请求以及响应信息；

所述信任计算引擎模块包括特征值处理子模块和信任度评估子模块；

所述特征值处理子模块基于数据采集存储模块数据中用户的历史行为数据以及当前访问请求主体信息对信任评估指标源数据进行数据处理，获得对应的特征值；

所述信任度评估子模块基于处理所得的特征值通过BP神经网络模型计算当前用户访问请求的信任度；

所述授权策略引擎模块基于RBAC权限管理框架快速过滤不符合访问控制策略的访问请求，将当前请求的用户身份及网络环境等信息发送给信任计算引擎模块以获取当前请求的信任度，判断该信任度是否大于访问目标服务所需的最小阈值，若大于，则将授权结果返回给API网关，否则拒绝该用户请求。

为实现上述目的，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现任一上述基于机器学习的零信任API网关动态信任评估与访问控制方法。

为实现上述目的，本发明还提供一种基于机器学习的零信任API网关动态信任评估与访问控制装置，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于机器学习的零信任API网关动态信任评估与访问控制装置执行任一上述基于机器学习的零信任API网关动态信任评估与访问控制方法。

本发明的有益效果：

本发明提出的一种基于机器学习的零信任API网关动态信任评估与访问控制方法及***，解决了现有API网关静态的授权策略容易被攻击者嗅探、侦破从而进行恶意攻击的问题；提出面向API网关的信任评估数据体系以及相关的数据采集、存储和处理流程，提出基于BP神经网络的信任评估模型，提高了用户信任度评估的准确性；提出一种基于用户信任度的RBAC访问控制模型，实现了动态访问控制，增强了整个应用***的安全性。

附图说明

图1为本发明的***整体框架图；

图2为本发明的API网关模块请求处理整体流程图；

图3为本发明的数据采集存储模块流程图；

图4为本发明的授权策略引擎模块访问控制流程图；

图5为本发明的信任评估模型结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于机器学习的零信任API网关动态信任评估与访问控制方法，如图2所示，该方法包括：

S1：构建零信任API网关动态信任评估指标体系；

一种基于机器学习的零信任API网关动态信任评估与访问控制***，如图1所示，该***包括：身份认证模块、数据采集存储模块、API网关模块、授权策略引擎模块以及信任计算引擎模块。

身份认证模块。该模块对应零信任核心逻辑架构中的身份基础设施。用户访问API网关前需要于身份认证模块进行身份认证，身份认证模块记录所有用户的认证结果，身份认证通过后身份认证模块会将用户的用户ID、用户角色、用户设备标识等信息放入到一个Token中，并返回该Token，用户携带该Token访问API网关。其中，身份认证模块基于Springboot应用开发框架和JWT(JsonWeb Token)开放标准编程实现。

API网关模块。该模块对应零信任核心逻辑架构中的可信代理。API网关是后台应用对外暴露的统一接入点，用于接收用户请求并对其进行管控，以便执行零信任安全策略和流量控制策略并记录访问请求以及响应信息。其中，API网关基于开源项目Spring CloudGateway二次开发实现，通过拓展内置的filter实现认证授权、负载均衡等功能。

数据采集存储模块。数据采集存储模块主要负责采集信任度评估指标相关的源数据，数据来源于API网关模块和身份认证模块，具体的信任评估指标数据如表1所示，采集到的原始数据以日志的形式存储在当前模块下，通过Filebeat工具监听日志事件，然后将日志信息传输至ElasticSearch进行数据存储。

进一步地，对信任评估指标数据体系的构建方法说明如下。

本发明的指标体系设计具备以下特点：

①引入多种类型的数据源，涵盖了现实环境中影响访问安全性、可靠性和可用性的影响因素。

②结合了API网关特点，选取了部分API网关支持计量的指标。

③基于层次划分的指标体系设计避免了指标的交叉重叠。

其中，多种类型的数据源包括：一是访问请求，访问请求包含请求主体的信息，包括使用的操作***版本、应用程序版本和交互协议等信息；二是用户主体的标识信息，包括用户的账号状态、权限、历史用户行为模式等信息，以及根据时间、用户地理位置和接入网络等信息推算出来的置信度水平；三是资源访问要求，包括资源敏感级别等。

基于上述设计原则，本发明所述的信任评估指标体系如表1所示。该指标体系由访问请求主体信息R、用户主体标识U和API状态三个一级指标以及操作***、用户设备、API状态等二级指标组成。各个评估指标的具体说明如下：

(1)身份信任访问请求主体信息R

①操作***R1，当前访问请求来源的操作***信息，可由当前请求(暂时默认为http请求)header中的“user-agent”属性获取，通过网关日志进行采集，数据格式为“操作***-版本”，例如“windows-10”。

②通信协议R2，当前访问请求的通信协议，可有访问请求URL的协议部分获取，通过网关日志进行采集。

③客户端R3，当前访问请求的客户端信息，该信息无法从原始的网络请求信息中提取，目前假设访问请求地header中携带有这部分信息，通过网关日志进行采集，数据格式为“客户端名称-版本”，例如“application-1.2.0”。

(2)用户主体标识U

①用户标识U1，当前请求的用户标识信息，一般为用户名或用户ID，由请求携带的Token解析得到，通过网关日志进行数据采集。

②用户设备U2，当前请求的用户设备标识，假设设备标识在认证阶段已写入Token中，可由请求携带的Token解析得到，通过网关日志进行数据采集。

③历史行为模式，将用户的历史行为模式分解成如下四个部分：活跃用户U3、请求频率U4、越权访问U5和认证失败U6，以上数据都是基于历史数据计算得出，没有对应的源数据采集。

其中，活跃用户U3从用户是否长时间未访问的角度来对用户的信任度进行评估，可通过比较该用户上一次访问时间与当前***时间的差值来进行判断；

请求频率U4从用户短时间内是否过于频繁地访问的角度来对用户的信任度进行评估，可通过滑动时间窗口算法(参考sentinel的限流实现)来统计用户单位时间内的访问次数；

越权访问U5，根据用户历史记录中越权访问次数来评估当前用户的信任度。越权访问行为可由认证授权中心进行授权时获取，通过认证授权中心日志进行采集；

认证失败U6，根据一段时间内认证失败的次数来评估当前用户的信任度。认证失败可由认证授权中心进行认证时获取，通过认证授权中心日志进行采集。

⑤置信度水平，置信度水平由请求访问时间U7和请求访问IPU8两部分组成。其中，请求访问时间U7，从当前请求访问时间是否属于该用户的常用访问时间段的角度来对该请求进行信任评估；请求访问IPU8从当前请求访问IP是否属于该用户的常用IP来的角度对该请求进行信任评估。

(3)API状态W

①API敏感等级W1，当前请求所访问API的敏感等级，表示该API的重要程度，API敏感等级一般人为设定并写入到数据库中，策略引擎基于API名称从数据库中获取这部分信息，无需进行数据采集。

②API状态W2，API状态暂时只考虑API被限流和降级的情况，这部分数据通过API网关的处理逻辑进行记录和采集。

表1 信任评估指标数据

信任计算引擎模块。该模块对应零信任核心逻辑架构中的信任评估引擎。信任计算引擎模块由特征值处理子模块和信任度评估子模块两个子模块组成，特征值处理子模块基于数据采集存储模块数据中用户的历史行为数据以及当前访问请求主体信息对信任评估指标源数据进行数据处理，获得对应的特征值R1-R3、U1-U8以及W1-W2，信任评估子模块基于处理所得的特征值通过BP神经网络模型计算当前用户访问请求的信任度。其中，数据处理子模块基于Spring Boot应用框架编程实现，信任评估子模块基于TensorFlow框架编程实现，并基于TensorFlow Serving部署。

授权策略引擎模块。该模块对应零信任核心逻辑架构中的动态访问控制策略引擎。授权策略引擎模块基于RBAC权限管理框架快速过滤掉不符合访问控制策略的访问请求，比如用户角色不匹配，角色不拥有访问目的服务的权限等；当访问请求通过RBAC权限判断后，授权策略引擎模块会将当前请求的用户身份及网络环境等信息发送给信任计算引擎模块以获取当前请求的信任度，判断当前请求信任度是否大于访问目标服务所需的最小阈值，最后将授权结果返回给API网关。其中，授权策略引擎模块基于Spring Boot应用框架编程实现。

API网关模块的对用户请求统一管控的具体实现步骤如下：

步骤2.1：对所接收到的用户请求进行断言，判断该请求所访问的具体服务S，若该服务未有限流策略则跳转到步骤2.3。

步骤2.2：判断服务S的流量控制策略是否已生效，若是，则返回预设的限流响应结果，数据采集存储模块记录本次请求响应结果，流程结束。

步骤2.3：判断当前请求是否携带Token，若否，则返回“未携带Token”响应数据采集模块记录本次请求响应结果，流程结束。

步骤2.4：判断当前请求所携带的Token是否已过期，若是，则返回“Token过期”响应，数据采集存储模块记录本次请求响应结果，流程结束。

步骤2.5：解析Token，将用户身份信息发送至授权策略引擎。

步骤2.6：API网关执行授权策略引擎所返回的授权策略，流程结束。

数据采集存储模块的具体实现步骤如下：

步骤3.1：采集API网关模块日志。对于API网关日志采集，主要采集信任评估指标体系中的R1～R3，U1～U4，U8～U9以及W2所需的数据。其具体的采集流程如下：

①根据当前所访问服务的流量控制策略是否已生效，若已生效，则进入流程②；若未生效，则进入流程③；

②在返回拒绝响应前，将当前请求的数据写入日志，具体的数据格式如表2所示。

③在进行授权处理逻辑前将当前请求的数据写入日志，具体的数据格式如表2所示。

表2 API网关模块数据

数据类型	数据来源	相关信任评估数据指标
			操作***	从请求header中的“user-agent”中提取	R1
通信协议	从请求的URL中提取	E2
			客户端版本	从请求header中提取	R3
用户名/ID	从Token中提取	U1
			设备ID	从Token中提取	U2
请求时间	当前***的时间	U3、U4、U7
			请求IP	当前请求的IP	U8
API状态	流控策略是否生效(未生效为0，否则为1)	W2

步骤3.2：采集身份认证模块日志。对于身份认证模块数据采集，主要采集信任评估指标中U6所需的数据，具体的数据格式如表3所示。

表3 身份认证模块数据

数据类型	数据来源	相关信任评估数据指标
			用户名/ID	根据认证请求(由用户发起)所携带的信息获取	U1
认证时间	接收到认证请时的***时间	U6
			认证结果	本次认证请求是否通过	U6

步骤3.3：采集授权策略引擎模块日志。对于授权策略引擎模块数据采集，主要采集信任评估指标中U5所需的数据，具体的数据格式如表4所示。

表4 授权策略引擎模块数据

数据类型	数据来源	相关信任评估数据指标
			用户名/ID	根据授权请求(由API网关发起)所携带的信息获取	U1
认证时间	接收到授权请求时的***时间	U5
			认证结果	本次授权请求的结果	U5

步骤3.4：Filebeat监听API网关模块、身份认证模块以及授权策略引擎模块的日志事件，将新增的日志信息传输至ElasticSearch中进行存储。

信任计算引擎模块的具体实现步骤如下：

步骤4.1：特征值处理。在收到授权策略引擎的信任度计算请求后，信任计算引擎基于用户名/ID从数据采集存储模块获取该用户的历史数据，并基于当前访问请求的行为、网络环境等信息进行数据处理得到信任评估模型所需的输入特征值。特征值数据如表5所示。

表5 信任评估模型输入特征值

特征值序号	信任评估指标数据	特征值数据类型	特征值取值范围
				X1	R1	离散	[0,1]
X2	R2	离散	[0,1]
				X3	R3	离散	[0,1]
X4	U2	连续	[0,1]
				X5	U3	离散	{0,1}
X6	U4	连续	[0,1]
				X7	U5	连续	[0,1]
X8	U6	连续	[0,1]
				X9	U7	连续	[0,1]
X10	U8	连续	[0,1]
				X11	W1	离散	[0,1]
X12	W2	离散	{0,1}

步骤4.2：信任度计算。特征值处理子模块将处理后的特征值组成特征向量输入信任度评估模型，信任度评估子模块将计算机过返回给授权策略引擎。

授权策略引擎模块的具体实现步骤如下：

步骤5.1：RBAC权限判定。授权策略引擎模块在收到API网关模块的授权请求后，首先提取出请求携带的三元组<用户名/ID、用户角色、目标服务>，通过判断该用户是否拥有当前角色属性以及该用户角色是否拥有访问目标服务的权限，以便快速过滤掉不符合访问控制策略的请求。

步骤5.2：信任度比较。授权策略引擎模块对通过RBAC权限判定的请求进行信任度比较，基于信任计算引擎模块返回的信任度计算结果，如果当前访问请求的信任度小于目标服务的最低信任度阈值，则返回API网关模块“拒绝访问”授权策略，否则返回“允许访问”授权策略。

身份认证模块(①)：用户在通过API网关模块访问具体的微服务应用时需要先进行身份认证已获取身份凭证Token，即常见的“登录”操作；身份认证所需的具体信息包含用户名/ID、用户角色、用户设备标识等，身份认证模块在成果校验用户身份后会将这些信息存放在一个密文中，即Token，这里的Token具体采用JWT技术实现，最后将这个Token返回给用户。

API网关模块(②、④、⑨、⑩)：用户携带Token通过API网关访问具体的微服务应用，API网关收到用户的访问请求后首先判断该请求是否携带Token，若未携带Token则拒绝响应；其次判断该Token是否有效，若已失效则拒绝响应；在确认Token有效后，API网关解析Token获取其中的用户名/ID、用户角色、用户设备标识等身份信息，API网关将这些身份信息以及当前请求所访问的服务发送给授权策略引擎模块；若基于授权策略引擎模块返回的授权策略为“拒绝访问”，API网关则拒绝响应，否则转发请求给具体的微服务应用。

数据采集存储模块(③)：数据采集存储模块会在身份认证模块、API网关模块以及授权策略引擎模块工作时将用户行为数据以日志的形式记录下来，具体数据包括用户认证的时间、结果以及用户访问网关的时间、请求详情、授权结果等。Filebeat会持续监听这三个模块的日志时间，并将新增的日志数据传输至ElasticSearch数据库进行持久化存储。

信任计算引擎模块(⑥、⑦、⑧)：信任计算引擎模块由特征值处理子模块和信任评估子模块组成，在收到授权策略引擎模块提供的用户身份信息和访问请求信息后，特征值处理子模块基于ElasticSearch中的用户历史行为信息进行特征值处理，以便将各个信任评估指标数据处理为信任评估模型的出入特征值向量；信任评估子模块基于BP神经网络模型和输入特征值计算得出当前请求的信任度并返回给授权策略引擎模块。

授权策略引擎模块(⑤、⑥)：授权策略引擎模块在收到API网关模块的授权策略请求后，首先基于RBAC权限管理框架来判断当前用户是否拥有该Token中的角色属性，以避免用户私自篡改Token和中间人攻击，若当前用户未拥有该Token中的属性，则返回“拒绝访问”授权策略；其次判断该角色是否拥有访问目标服务的权限，若该角色未拥有访问目标服务的权限，则返回“拒绝访问”授权策略；最后将当前的用户身份信息和访问请求详情发送给信任计算引擎模块以获取当前请求的实时信任度，判断当前请求的信任度是否大于目标服务的最低信任度阈值，若未能满足最低信任度阈值，则返回“拒绝访问”授权策略，否则返回“允许访问”策略。

下面参考附图2，具体说明API网关模块的具体实现流程。

步骤2.1：API网关收到用户请求后，通过Spring Cloud Gateway内置的PredicateFilter来判断当前请求所访问的具体应用微服务，获得服务名S。

步骤2.2：判断服务S的流量控制策略是否已生效，具体的流控策略通过集成Sentinel来实现；若服务S的流控策略已生效，则返回预设的限流响应，状态码为443，响应内容为“服务S已被限流，请稍后访问！”，数据采集记录本次请求响应结果，流程结束。

步骤2.3：API网关通过获取访问请求header中“Authorization”的键值信息来判断当前请求是否携带Token，若否，则返回预设的无效Token响应，状态码为401，响应内容为“未携带Token”流程结束。

步骤2.4：API网关解析Token得到Token的生成时间以及有效时间，通过比较当前的***时间来判断该Token是否已过期，若是，则返回预设无效Token响应，状态码为401，响应内容为“Token已过期”，流程结束。

步骤2.5：API网关解析Token得到用户身份信息，包括用户名/ID、用户角色和用户设备标识，将用户身份信息、本次请求访问的目标服务以及请求的详情放入请求体中并发送至授权策略引擎。

下面参考附图3，具体说明数据采集存储模块的具体实现流程。

步骤3.1：采集API网关模块日志：从访问请求的header中提取“user-agent”键值信息，相关指标为R1；从访问请求的URL中提取本次请求的通信协议，相关指标为R2；从访问请求header中提取“client-version”键值信息，相关指标为R3；从请求携带的Token中获取该请求的用户名/ID，相关指标为U1；从请求携带的Token中获取请求的设备标识，相关指标为U2；获取本次访问请求的IP地址，相关指标为U8；获取当前访问请求的目标服务及状态，相关指标为W1、W2；获取API网关模块当前***时间，相关指标为U3、U4、U5、U7。

步骤3.2：采集身份认证模块日志：从用户认证请求中获取用户名/ID，相关指标为U1；记录用户认证的结果以及身份认证模块当前***时间，相关指标为U6。

步骤3.3：采集授权策略引擎模块日志：从API网关授权请求中获取用户名/ID，相关指标为U1；记录本次请求的授权结果以及授权策略引擎模块当前***时间，相关指标为U6。

步骤3.4：修改Filebeat配置文件“filebeat.yml”中的output.elasticsearch的配置项，将hosts属性配置为ElasticSearch所在的socket，将Filebeat从以上三个模块所采集的数据传输至ElasticSearch中存储。

下面参考附图4，具体说明信任计算引擎模块的特征值处理流程以及信任评估模型具体结构。

各个特征值处理的方法如下：

步骤1：X1-R1：基于当前请求的操作***计算特征值X1，该特征值从安全数据库中获取(该数据库可根据各个应用场景的实际需求提前准备)。规定X1的取值范围在[0,1]内。

步骤2：基于当前请求的通信协议计算特征值X2，一般认为常用通信协议的特征值小于非常用通信协议的特征值，规定X2的取值范围在[0,1]内。

步骤3：基于当前请求的客户端计算特征值X3，该特征值一般从安全数据库中获取(该数据库可根据各个应用场景的实际需求提前准备)，规定X3的取值范围在[0,1]内。

步骤4：基于当前请求用户的设备ID计算特征值X4，计算方法如下：

①从ElasticSearch中查询该用户的所有历史访问设备ID并进行词频统计，得到集合Set<(Device,Count)>；

②对于集合中的每个设备ID，若等于当前设备ID，则输出当前设备ID访问次数(count)占该用户所有历史访问次数的比率R，输出1-R；

③若集合中不存在当前设备ID，则输出1。

步骤5：基于当前请求用户访问时间计算特征值X5，具体计算方法如下：

记当前用户的请求访问时间为curTime、上一次请求访问时间为lastTime，令res＝curTime-lastTime，如若res>7(天)则输出1，否则输出0。

步骤6：请求频率特征值计算方法如下：

统计单位时间(时间粒度与限流策略保持一致)内当前用户的请求次数sum，令res＝sum/Max，Max为流量控制策略所设置的阈值，输出res，若res大于1则输出1。

步骤7：越权访问特征值计算方法如下：

基于当前请求的用户，查询单位时间内用户越权访问的次数sum，假设阈值为Max，令res＝sum/Max，输出res，若res大于1则输出1。

步骤8：认证失败特征值计算方法如下：

基于当前请求的用户，查询单位时间内用户认证失败的次数sum，假设阈值为Max，令res＝sum/Max，输入res，若res大于1则输出1。

步骤9：基于当前请求访问时间和用户历史访问时间计算特征值X9，具体计算方法如下：

①从ES中查询该用户的所有历史访问时间并进行词频统计(只统计“小时:分钟:秒”，以15分钟为间隔划分时间点，根据每条数据距离最近的时间点进行统计。例如，“21:46:33”归类于“21:45:00”)，得到集合Set<(Time,Count)>；

②确定当前访问时间所属的时间点curTime，计算该时间点访问次数占总访问次数的比率R，令res＝1-R，输出res。

步骤10：基于当前请求的IP计算特征值X10，计算方法如下与X4的计算方法类似。

步骤11：基于当前请求访问的API的敏感度计算特征值X11，一般认为敏感度越高的API特征值越大，具体数值可根据具体的应用场景设置，规定X11的取值范围在[0,1]内。

步骤12：基于当前请求访问的API的状态计算特征值X12，一般认为特征值的大小关系为：正常状态<限流状态，具体数值可根据具体的应用场景设置，规定X12取值范围在[0,1]内。

信任评估模型本质上为BP神经网络模型，其具体的训练步骤如下。

步骤1：模型初始化。根据模型的输入和输出向量确定网络输入层节点数为n₁，隐藏层数为n₂，隐藏层节点数位n₃，输出层节点数为n₄，初始化输入层与隐藏层的连接权值为W_ij，i∈{1,2,…,n₁},j∈{1,2,…,n₃}，隐藏层与隐藏层的连接权值为W_jk，j,k∈{1,2,…,n₃}，隐藏层与输出层的连接权值为W_kl，k∈{1,2,…,n₃}，设置模型的学习率和激活函数。

步骤2：隐藏层计算。基于输入向量X，权值矩阵W_ij，计算隐藏层输出H。其中，f(*)为激活函数。

步骤3：输出层计算。根据隐藏层输出H，隐藏层与输出层之间的权值矩阵W_kl计算输出层输出O。

步骤4：误差计算。根据输出层计算结果O和期望值Y,计算误差e。

e_l＝Y_l-O_l，l＝1,2,…,n₄ (4)

步骤5：权值更新。根据误差e更新权值矩阵W_ij、W_jk和W_kl。其中，α为学习率。

具体地，本发明基于TensorFlow2.0框架中的Keras实现，该神经网络模型的具体参数如表6所示。

基于以上模型参数，使用CERT-IT数据集对该模型进行训练。下面参考附图5，具体说明授权策略引擎模块的具体实现流程。

步骤5.1：授权策略引擎模块在收到API网关模块的授权请求后，首先从请求体中提取出请求携带的三元组<用户名/ID、用户角色R、目标服务S>。

步骤5.2：基于用户名/ID和用户角色判断该用户是否拥有当前角色属性，若否，则返回“拒绝访问”授权策略，流程结束。

步骤5.3：基于用户角色R和目标服务判断该角色是否拥有目标服务S的访问权限，若否，则返回“拒绝访问”授权策略，流程结束。

步骤5.4：将三元组以及请求详情信息发送至信任计算引擎模块，获取返回的信任度，及当前请求的综合信任度为D。

步骤5.2：基于请求的信任度D和访问目标服务S的最低信任阈值T判定该请求的授权策略，若D<T，则返回“拒绝访问”授权策略；否则，返回“允许访问”授权策略。

于本发明一实施例中，本发明还包括一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一所述基于机器学习的零信任API网关动态信任评估与访问控制方法。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

一种基于机器学习的零信任API网关动态信任评估与访问控制装置，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于机器学习的零信任API网关动态信任评估与访问控制装置执行任一上述基于机器学习的零信任API网关动态信任评估与访问控制方法。

具体地，所述存储器包括：ROM、RAM、磁碟、U盘、存储卡或者光盘等各种可以存储程序代码的介质。

优选地，所述处理器可以是通用处理器，包括中央处理器(Central ProcessingUnit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于机器学习的零信任API网关动态信任评估与访问控制方法，其特征在于，包括：

S1：构建零信任API网关动态信任评估指标体系；其中，零信任API网关动态信任评估指标体系由访问请求主体信息R、用户主体标识U以及API状态三个一级指标和操作***、用户设备以及API状态三个二级指标组成；

S4：API网关采集用户请求信息，并对用户请求信息进行预处理，得到对应的特征值；API网关采集用户请求信息包括：从请求本身获取网络环境信息，包括请求的操作***、通信协议、客户端版本、用户名/ID、请求时间、请求IP以及API状态信息；

步骤1：模型初始化；确定网络输入层节点数为n₁，隐藏层数为n₂，隐藏层节点数位n₃，输出层节点数为n₄，初始化输入层与隐藏层的连接权值为W_ij，i∈*1,2,…,n₁+,j∈*1,2,…,n₃+，隐藏层与隐藏层的连接权值为W_jk，j,k∈*1,2,…,n₃+，隐藏层与输出层的连接权值为W_kl，k∈*1,2,…,n₃+，设置模型的学习率和激活函数；

步骤5：权值更新；根据误差e更新权值矩阵W_ij、W_jk和W_kl；

2.根据权利要求1所述的一种基于机器学习的零信任API网关动态信任评估与访问控制方法，其特征在于，用户向***进行身份认证的过程包括：用户向***的身份认证模块发送用户信息，用户信息包括用户ID、用户角色以及用户设备标识；身份认证模块接收用户信息后，将该信息存放到Token中，并将Token返回给用户，完成身份认证。

3.根据权利要求1所述的一种基于机器学习的零信任API网关动态信任评估与访问控制方法，其特征在于，API网关判断用户身份信息是否有效包括：判断用户发送的请求信息中是否存在Token，若不存在，则用户服务请求失败，若存在，则判断用户写得的Token是否过期，若过期，则户服务请求失败，若未过期，则对Token进行解析，得到请求用户的身份信息。

4.一种实现权利要求1所述基于机器学习的领新人API网管动态新人评估与访问控制方法的***，其特征在于，该***包括：身份认证模块、数据采集存储模块、API网关模块、授权策略引擎模块以及信任计算引擎模块；

5.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行，以实现权利要求1至3中任一项基于机器学习的零信任API网关动态信任评估与访问控制方法。

6.一种基于机器学习的零信任API网关动态信任评估与访问控制装置，其特征在于，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于机器学习的零信任API网关动态信任评估与访问控制装置执行权利要求1至3中任一项基于机器学习的零信任API网关动态信任评估与访问控制方法。